El peligroso escenario de la venta de datos
La información privada en bases ilegales tiene un alto consumo en el sector empresarial. Una ley aplicaría control administrativo sancionador
En la dirección 7 Queensbridge, de la ciudad de Northampton, en el Reino Unido, funciona la sede de una empresa que ofrece una amplia gama de información relacionada con industrias y compañías en Ecuador. “Con nuestro directorio de contactos, usted puede muy fácil construir una lista de correos electrónicos y teléfonos desde cero usando la totalidad de información directa de la cual disponemos”, se lee en el sitio web de Global DataBase. Es más, se asegura que “solo usando el filtro del nivel de ejecutivo, puede llegar directamente a hablar con los CEO (director ejecutivo, por sus siglas en inglés) y CTO (director de tecnología)”.
Similares ofertas existen en sitios locales como Mercado Libre. Como el caso de C. Bolagay, quien vende copias de bases de datos libremente, en pendrive de 8 GB por 50 dólares. O los que publicitan sus productos haciendo uso de la información que tienen. Ese es el caso de Data.ec, por medio del correo electrónico. Aduce que posee información a nivel de todo el Ecuador. Puede “perfilar la base de datos según filtros o palabras claves que el cliente indique” y hasta “obtener nuevos datos de acuerdo a los requerimientos del comprador”.
Datos personales, de venta al mejor postor
Leer másEn fin, en la web hay quienes ofrecen desde listados completos de tarjetahabientes de “Diners y American, Visa y Master” -tal cual aparece el detalle en uno de los anuncios en la web-, o el registro de las personas con nombres de sus padres y hasta de su hijos.
¿Los precios? Aunque en los anuncios colocan la irrisoria cifra de un dólar, esta es una publicidad engañosa, porque cuando se ingresa al link, aparecen los precios reales: 200, 250, 500 dólares... O como el caso de Data.ec, que tras atender una llamada de EXPRESO precisó que por un registro mínimo (2.000 nombres, con número de cédulas y correos electrónicos) el costo es de 150 dólares, mientras que para un registro completo -de 200 mil a 300 mil-, el pago ascendía a 1.500 dólares. Del otro lado del teléfono, la persona que respondía a la llamada adujo que de ser necesario ellos entregan factura por cada compra. “No hay problema para eso. Somos una empresa establecida legalmente”, agregó.
Lo que sí está en dudas es la información que ofertan y comercializan. ¿Es legal? Hay una línea muy fina que separa el bien y el mal.
Hay un hecho que es determinante para identificar que la información que se distribuye es obtenida de manera legal: que en el proceso de recopilación se le diga al cliente que en un futuro inmediato, la persona o empresa que cumple la tarea de recaudador, queda autorizada para realizar una serie de actos con esta, incluso, la de transferir estos datos, si lo desea. Este pequeño detalle es lo que, según Gino Nieto, hace que su catálogo de productos -doce en total, con registros que van desde los 2.200 hasta los 224.000-, sea legal.
“En mi caso, yo tengo personas que van por la ciudad, ofreciendo mis servicios (diseños webs y gráficos) y van levantando los datos de las empresas, a través de las tarjetas o son los mismos gerentes o propietarios que nos dan la información. Levantar esta información es completamente legal”, asegura Nieto.
En su caso, lo que ofrece son registros de los 2.500 cibercafés que hay en el país, así como el de los 74 mil egresados del sistema universitario nacional.
Hay una delgada línea que separa lo legal de lo ilegal en este tipo de actividad. Pero es más lo que mueve a la sombra de lo irregular, por lo que el escenario en el país es absolutamente caótico. Concesionarias telefónicas que llaman a sus clientes para ofrecerles sus servicios, empresas de viajes que tienen los números celulares o los correos de personas que nunca los han buscado, advierten que están usando bases de datos que no fueron obtenidas en el marco de lo legal.
Seguridad informática: teorías sobre la supuesta filtración de datos de usuarios del Banco Pichincha
Leer másUn panorama que cambiará, según afirma Lorena Naranjo Godoy, de la Dirección Nacional de Registro de Datos Públicos (ver nota adjunta), con la emisión de la Ley de Protección de Datos Personales, que desde septiembre del 2019 está en manos de la Asamblea y que espera que sea aprobada definitivamete en este periodo legislativo.
Una ilegalidad que deberá desaparecer, asegura Naranjo, “porque este escenario donde están comercializando bases de datos ilegales es peligroso, para el titular de la información -las personas- como para las empresas, que utilizan información erróneas para sus procesos”.
“Al final de este período legislativo tendremos aprobada la ley”
Tras año y medio de análisis, la Ley de Protección de Datos Personales será aprobada al término de este período legislativo. Por lo menos así lo asegura Lorena Naranjo, a cargo de la Dirección Nacional de Registro de Datos Públicos (Dinardap). “El presidente de la Comisión de Soberanía e Integración, encargada de su análisis, señaló que estaría lista en este período legislativo”.
¿Qué permite esta ley? “Tener derechos para defendernos en los entornos digitales. Ahora que hacemos teletrabajo, teleducación, comercio electrónico, servicio con plataformas para uso de taxis, etc, etc... nuestros datos son almacenados y no tenemos la certeza de qué hacen con ellos”, agrega Naranjo.
La ley determina un control administrativo sobre los responsables del tratamiento o uso de datos personales (sector público, privado, personas naturales o jurídicas). “Romperá esquemas de compra y de oferta de bases de datos irregulares”, asegura Naranjo.
El 90 % de las bases de datos es ilegal
Pablo Solines. Es abogado, realizó estudios en universidades de España como son la Autónoma y la Carlos III de Madrid. Preside la Asociación Ecuatoriana de Protección de Datos. Tiene maestría en temas de Propiedad Intelectual, Media y Entretenimiento.
Los empresarios aseguran que necesitan bases de datos para sus actividades comerciales. ¿En dónde termina lo legal e inicia lo ilegal en esta actividad?
Hay que analizarlo desde dos perspectivas. La primera: la base de datos como un sistema que ha sido desarrollado por una empresa que eventualmente puede ser susceptible de una protección al amparo de la propiedad intelectual, nuestra legislación ecuatoriana prevé un reconocimiento expreso de protección a las bases de datos al amparo del derecho de autor, en la medida que estas cumplan con ciertos condicionamientos de originalidad... Segundo, parte de esta información constituye datos de carácter personal. Nuestra legislación reconoce a la protección de datos como un derecho ciudadano y, por tanto, se prohíbe el tratamiento o el uso de estos datos sin la autorización o consentimiento del titular. Ahí es donde radicaría la determinación de legalidad o la ilegalidad de la transferencia o comunicación de bases de datos o de información.
Frente a eso entonces es fácil colegir que el escenario de ilegalidad en torno al negocio de las bases de datos en el país es enorme.
Si no hay un consentimiento, todos estos actos de ventas de información, lo es. El 90 % o más de transferencia (comercialización) que realizan las empresas son ilegales, porque en ningún momento el titular dio su consentimiento para que su información sea transferida a manos de terceros.
¿El uso de esta información no implica una irregularidad?
La gran mayoría de prácticas, desde las que llaman a ofrecer servicios o premios, para que acudan a algún lado para hacerles conocer de tal o cual cuestión, todo eso normalmente son prácticas ilegales. Porque han accedido a nuestra información muchas veces, no por medio de las empresas que han recabado estos datos, sino por los propios funcionarios que se las extraen de forma ilegal y clandestina, y son quienes luego las venden. Esto tiene una connotación legal importante porque todas nuestras empresas están haciendo tratamientos ilegales utilizando bases de datos legales, estarían cometiendo incluso un delito. Porque así está establecido en nuestro Código Penal... Y el panorama es tan grande que la Fiscalía ni la Policía podrían poner orden. No se alcanzarían.
¿Qué tanto ayudaría la nueva normativa?
Absolutamente. Primero porque habrá una autoridad de control, luego las sanciones. Lo que tenemos es lo penal, pero no es efectivo. Pero con la nueva ley se implementará un régimen sancionador bastante fuerte. Hoy por hoy está previsto un porcentaje bien alto de la facturación de las empresas por infracciones a los derechos de la protección de datos. Este tipo de multas podría llevarlos a quebrar. No cualquiera se arriesgaría a usar bases de datos ilegales.